쿠팡이 3370만건에 달하는 개인정보 유출 사고와 관련, 카드정보·비밀번호 등 금융 정보는 노출되지 않았다고 강조하고 있지만, 보안 전문가들은 "아직 안심할 단계가 아니다"라고 입을 모은다. 과거 다른 기업들의 고객 개인정보 유출 사고의 경우에도 초기 발표와 다르게 더 큰 규모, 또는 다른 종류의 정보 유출이 드러난 경우가 여럿 있었기 때문이다.

이번 쿠팡 사태에서 유출 정보의 성격과 범위, 인증키·접근권한 회수 실패 등 구조적 문제가 드러난 만큼, 사고 원인 규명은 물론 기업 내부 보안체계 전반을 재점검해야 한다는 지적이 나오고 있다.

서울 송파구 쿠팡 본사./뉴스1

◇ "금융 정보 노출 여부 확실치 않아"

2일 최민희 국회 과학기술정보방송통신위원회 위원장과 업계에 따르면, 이번 사고는 외부 해킹이 아니라 중국 국적의 퇴사한 직원이 인증키를 이용해 약 5개월 동안 고객 계정 정보에 무단 접근한 사건으로 전해졌다. 인증키는 서버가 로그인 토큰의 진위를 판단하는 핵심 보안 도구다. 토큰이 일회용 출입증이라면 인증키는 그 출입증을 찍는 도장에 비유될 정도로 중요도가 크다. 토큰의 진위를 판단하는 핵심 보안 요소가 인증키인 셈이다.

쿠팡은 이번 사고와 관련 지난달 29일 "개인정보가 일부 노출되는 사고가 발생했다. 이번 노출을 인지한 즉시 관련 당국에 신속하게 신고했다"라며 "현재까지 조사된 결과에 따르면 노출된 정보는 이름, 이메일 주소, 배송지 주소록, 주문 정보"라고 밝혔다. 그러면서 "카드정보 등 결제정보 및 패스워드 등 로그인 관련 정보는 노출이 없었음을 확인했으며 안전하게 보호되고 있다"라고 했다.

그러나 보안 전문가들은 쿠팡의 이 발표만으로 금융 정보가 완전히 안전하다고 단정하기는 어렵다는 입장이다. 조영철 한국정보보호산업협회장은 "인증키를 가진 사람이 어디까지, 어떤 정보를 들여다봤는지 알려지지 않아 속단하기 어렵다"라며 "금융 정보를 실제로 안 가져갔을 수도 있지만, 가져갔음에도 현재까지 관련 기록이 확인되지 않았을 가능성도 있다"라고 했다. 홍준호 성신여대 융합보안공학과 교수도 "금융 정보에 대한 노출 여부는 아직 확실하지 않다"라며 "정확한 것은 로그 분석을 통해 조사 결과가 나오기 전까지는 알 수 없다"라고 말했다.

앞서 다른 기업들의 사례에서 처음엔 침해·유출 정황이 없다고 하거나, 규모가 크지 않다고 했다가 조사, 수사 과정에서 피해 범위와 기간이 훨씬 더 커진 사례가 여럿 있다. 예컨대 KT의 경우 지난 9월 소액결제·불법 초소형 기지(펨토셀) 사건과 관련 처음에는 "개인정보 유출 정황은 없다"라고 했다. 그런데 조사와 자체 전수 점검을 거치면서, 파악된 피해 고객 수가 278명에서 368명으로 늘었다. 펨토셀 ID도 4개에서 추가로 16개가 발견돼 총 20개로 확인되는 등 유출·악용 의심 범위가 확대됐다.​ KT는 개인정보보호위원회에 1차 신고를 하면서 5561명의 가입자식별번호(IMSI) 유출 정황을 인정했으나, 추가 조사를 통해 2만30명의 IMSI·단말기고유식별번호(IMEI)·휴대전화 번호 유출 정황을 추가 신고했다.

지난 4월 SK텔레콤 해킹 사건은 조사 결과 33종 악성코드, 28대 서버 감염, 유심 정보 25종 2696만건 등 국민 절반 수준의 대규모 유출이 확인된 대형 사고였다. 심각한 개인 정보 유출 사태였음에도 불구하고 SK텔레콤은 가입자에 대한 문자·메일 통지를 하루가 지나서야 시작했다. 업계 관계자는 "기업은 먼저 핵심 서버를 점검하고 민관합동조사단이 추가 조사를 하는데 형사 책임, 과실 여부 판단은 경찰·검찰 조사 이후에야 명확해진다"라며 "기업 입장에서는 투자자와 시장 반응을 감안해 최소한의 정보만을 제공하는 것"이라고 말했다.

또 다른 업계 관계자는 "기업이 초기 단계에서 피해 범위를 정확히 알기는 힘들다. 정보유출은 대부분 로그 분석, 포렌식, 시스템 복구 등을 거쳐야 정확한 범위가 나오는데 이 과정은 최소 며칠에서 수주 이상 걸린다"라고 했다. 내부자가 정상 권한으로 접근해 탐지 자체가 안됐거나, 로그가 일부만 남았거나 손상됐을 가능성도 있기 때문이다. 이 관계자는 "쿠팡 사고처럼 퇴사자가 인증키를 사용했다면 기록이 누락되거나 왜곡되기 때문에 초기 피해 범위 파악이 어렵다"라고 했다.

박대준 쿠팡 대표이사와 브랫 매티스 쿠팡 최고 정보 보호 책임자(CISO)가 2일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회의 쿠팡 개인정보 유출 사고 관련 현안질의에 출석해 대화를 나누고 있다./연합뉴스

◇ "기본적인 보안 조치 작동 안 해"

전문가들은 이번 사고의 핵심을 쿠팡 시스템 전반의 보안 관리 실패로 보고 있다. 특히 퇴사자 권한 회수와 인증키 폐기를 하지 않은 점을 가장 큰 문제로 지적한다. 인증·권한·접근 관리 체계를 부실하게 운영했다는 것이다. 개인정보보호법 제29조에 따른 행정규칙 '개인정보의 안전성 확보조치 기준'은 직무 변경·퇴직 시 지체 없이 권한을 변경·말소하고, 정기적으로 권한 부여 현황을 점검하도록 규정하고 있다.

홍 교수는 "기업은 접근통제, 접근권한 관리, 암호화 조치 등 기본적이고 의무적인 보안 체계를 갖춰야 한다"라며 "개인정보 처리자는 망분리 환경에서 접속하거나 전용 단말기를 사용해야 하고, 대량 다운로드가 발생하면 자동 탐지가 이뤄지는 게 기본인데 이런 가장 기초적인 보안조치조차 제대로 작동하지 않은 것으로 보인다"라고 말했다.

업계에서는 2차 피해 방지를 위해 정기 결제 해지, 카드 정보 삭제, 비밀번호 변경 등 기본 조치를 반드시 취할 것을 권고하고 있다. 특히 여러 사이트에서 쿠팡과 유사한 아이디·비밀번호를 사용하고 있는 경우 즉각 변경해야 한다고 강조한다. 홍 교수는 "금융 정보가 실제로 안전하더라도 이미 국민 대부분의 이름·주소·연락처가 유출됐다"라며 "이 정보가 다른 사이트의 계정, 자동결제 정보와 결합될 경우 피해 범위는 훨씬 커질 수 있다. 피싱, 스미싱, 맞춤형 사기 같은 2차 피해가 발생할 수 있다"라고 했다.

한국인터넷진흥원(KISA)은 지난달 29일 '이커머스 해킹 피해 악용 스미싱·피싱 주의 권고'를 긴급 배포했다. KISA는 '배송 오류' 등 허위 내용이 담긴 문자메시지를 받으면 카카오톡 채널 '보호나라'의 스미싱·피싱 확인 서비스에서 악성 여부를 조회할 수 있다고 안내했다.